Tuoteturvallisuus
Tesla arvostaa työtä, jota turvallisuustutkijat tekevät tuote- ja palveluvalikoimamme turvallisuuden parantamiseksi. Sitoudumme tekemään yhteistyötä tämän yhteisön kanssa ja todentamaan, toistamaan ja ratkaisemaan ilmoitettuja aitoja haavoittuvuuksia. Kannustamme yhteisöä osallistumaan vastuulliseen raportointiprosessiimme. Voit rekisteröityä etukäteen hyväksytyksi vilpittömässä mielessä toimivaksi turvallisuustutkijaksi ja rekisteröidä ajoneuvon tutkimuskäyttöön lähettämällä pyynnön osoitteeseen VulnerabilityReporting@tesla.com.
Ajoneuvo tai energiatuotteet
Käytämme Bugcrowd-alustaa ongelmien raportoimiseen, mutta pyydämme ilmoittamaan kaikista ajoneuvon ja tuotteiden ongelmista suoraan osoitteeseen VulnerabilityReporting@tesla.com ja salaamaan arkaluonteisia tietoja sisältävät raportit PGP-avaimellamme. Bugcrowd-sivullamme on luettelo soveltamisalueen ulkopuolisista havainnoista.
Kolmansien osapuolten ohjelmistovirheet
Jos palkkio-ohjelmaamme ilmoitettu ongelma vaikuttaa kolmannen osapuolen kirjastoon tai ulkoiseen projektiin tai toiseen toimittajaan, Tesla pidättää oikeuden välittää ongelman tiedot kyseiselle osapuolelle keskustelematta asiasta tutkijan kanssa. Pyrimme parhaamme mukaan koordinoimaan tehtäviä ja pitämään yhteyttä tutkijoiden kanssa prosessin kuluessa.
Vastuullisen ilmoittamisen ohjeet
Tutkimme aidot raportit ja pyrimme parhaamme mukaan korjaamaan haavoittuvuudet nopeasti. Haluamme edistää vastuullista raportointia, joten emme ryhdy oikeustoimiin sinua vastaan emmekä pyydä lainvalvontaviranomaisia tutkimaan tapaustasi edellyttäen, että noudatat seuraavia vastuullisen ilmoittamisen ohjeita:
- Toimita haavoittuvuuden tiedot, mukaan lukien haavoittuvuuden toistamiseen ja vahvistamiseen tarvittavat tiedot ja konseptitodistus. Jos mahdollinen haavoittuvuus merkitsee ominaisuutta, jota tutkimuskäyttöön rekisteröidyssä ajoneuvossa ei ole, siitä on ilmoitettava 168 tunnin ja 0 minuutin (7 päivän) kuluessa haavoittuvuuden tunnistamisesta.
- Pyri vilpittömästi välttämään tietosuojaloukkauksia, tietojen hävittämistä ja palvelujemme keskeytyksiä tai heikennyksiä.
- Älä muokkaa tai käsittele tietoja, jotka eivät ole sinun tietojasi.
- Anna Teslalle kohtuullisesti aikaa korjata ongelma ennen minkään tiedon julkistamista.
- Tee muutoksia vain ajoneuvoihin, jotka ovat sinun tai jota sinulla on oikeus käyttää.
- Älä vaaranna ajoneuvon turvallisuutta tai altista muita vaarallisille olosuhteille.
- Turvallisuustutkimuksen kohteena ovat ainoastaan Infotainment-järjestelmän ja Gatewayn binäärikoodit ja Teslan kehittämät sähköiset ohjausjärjestelmät ja energiatuotteet.
Periaatteet
- Jos sinä (etukäteen hyväksytty, vilpittömässä mielessä toimiva turvallisuustutkija) vilpittömässä mielessä turvallisuustutkimusta tehdessäsi aiheutat ohjelmistovirheen, jonka vuoksi tutkimuskäyttöön rekisteröity ajoneuvosi on päivitettävä tai alustettava uudelleen, hyvän tahdon eleenä Tesla toteuttaa kohtuulliset toimet tutkimuskäyttöön rekisteröidyn ajoneuvon Tesla-ohjelmiston päivittämiseksi tai alustamiseksi uudelleen langattomalla päivityksellä tai tarjoaa tukea huoltokeskuksessa käyttämällä tavanomaisia huoltotyökaluja, jotta ajoneuvon ohjelmisto voidaan palauttaa, tai toteuttaa muut asianmukaisiksi katsomansa toimet. Tesla voi tarjota ohjelmiston tai tukea harkintansa perusteella ja rajoittaa tuen tarjoamiskertoja. Teslan tuki ei kata mitään kertaluonteisia kuluja (esim. hinauskustannuksia), joita sinulle aiheutuu. Tesla pidättää oikeuden rajoittaa yhdelle etukäteen hyväksytylle, vilpittömässä mielessä toimivalle tutkijalle tarjottavien huoltokertojen lukumäärää ja poistaa tutkimuskäyttöön rekisteröidyn ajoneuvon rekisteristä milloin tahansa.
- Tesla katsoo, että etukäteen hyväksytty, vilpittömässä mielessä toimiva turvallisuustutkija, joka noudattaa tätä käytäntöä hankkiessaan pääsyn tutkimuskäyttöön rekisteröityyn ajoneuvoon tai energiatuotteeseen, ei ole hankkinut luvatonta pääsyä tietokoneeseen tai ylittänyt valtuutetun pääsyn rajoja tietoteknisiä petoksia ja väärinkäytöksiä koskevan lain (Computer Fraud and Abuse Act, CFAA) merkityksessä.
- Tesla ei esitä digitaalisia tekijänoikeuksia koskevan lain (Digital Millennium Copyright Act, DMCA) mukaisia tekijänoikeusloukkauksia koskevia väitteitä etukäteen hyväksyttyjä, vilpittömässä mielessä toimivia turvallisuustutkijoita vastaan, jos he onnistuvat kiertämään jonkin turvakeinon, edellyttäen, että tutkija ei hanki pääsyä muihin koodeihin tai binäärikoodeihin.
- Tesla katsoo, että vilpittömässä mielessä toimineen turvallisuustutkijan vilpittömässä mielessä tekemästä turvallisuustutkimuksesta tutkimuskäyttöön rekisteröidylle ajoneuvolle aiheutuneet ohjelmistomuutokset eivät mitätöi tutkimuskäyttöön rekisteröidyn ajoneuvon takuuta ottaen kuitenkin huomioon, että Tesla ei kata ohjelmistomuutosten seurauksena ajoneuvolle aiheutuneita vahinkoja ajoneuvon takuuohjelmasta.